一、CSRF
創(chuàng)新互聯(lián)公司"三網(wǎng)合一"的企業(yè)建站思路。企業(yè)可建設擁有電腦版���、微信版���、手機版的企業(yè)網(wǎng)站����。實現(xiàn)跨屏營銷,產(chǎn)品發(fā)布一步更新����,電腦網(wǎng)絡+移動網(wǎng)絡一網(wǎng)打盡,滿足企業(yè)的營銷需求���!創(chuàng)新互聯(lián)公司具備承接各種類型的成都做網(wǎng)站��、網(wǎng)站設計�����、外貿(mào)營銷網(wǎng)站建設項目的能力。經(jīng)過10多年的努力的開拓��,為不同行業(yè)的企事業(yè)單位提供了優(yōu)質(zhì)的服務����,并獲得了客戶的一致好評。
CSRF的全名是Cross Site Request Forgery��,即跨站點請求偽站��。
1��、瀏覽器的cookie策略
很多***者偽造的請求之所以能在在服務器驗證通過,是因為用戶的瀏覽器成功發(fā)送了cookie的緣故�。
瀏覽器所持有的cookie分為兩種:一種是"Session Cookie",又稱"臨時Cookie"����;另一種是"Third-party Cookie",也稱"本地Cookie"���。
兩者的區(qū)別在于Third-party Cookie是服務器在Set-Cookie時指定了Expire時間����,只有到了Expire時間后Cookie才會失效�����,所以這種Cookie會保存在本地�;而Session-Cookie則沒有指定Expire時間,所以瀏覽器關(guān)閉后��,Session Cookie就失效了��。
瀏覽器網(wǎng)站的過程中���,若是一個網(wǎng)站設置了Session Cookie����,那么在瀏覽器進程中的生命周期內(nèi),即使瀏覽器新打開了Tab頁��,Session Cookie也都是有效的�����。Session Cookie保存在瀏覽器進程的內(nèi)存空間中�,而Third-party Cookie則保存在本地。
如果瀏覽器從一個域的頁面中����,要加載另一個域的資源,由于安全原因�����,某些瀏覽器會阻止Third-party Cookie的發(fā)送�����。
下面這個例子����,演示了這一個過程:
在http://www.a.com/cookie.php中,會給瀏覽器寫入兩個Cookie:一個是Session Cookie����,另一位Third-party Cookie。
header("Set-Cookie: cookie1=123;"); header("Set-Cookie: cookie2=456;expires=Thu,01-Jan-2030 00:00:01 GMT;",false); ?> |
訪問這個頁面���,發(fā)現(xiàn)瀏覽器同時接收(Direction:Recived 第一次接收)了這兩個Cookie�。
這時再打開一個新的瀏覽器Tab頁��,訪問同一個域中的不同頁面�����。因為新Tab頁在同一個瀏覽器進程中�,因此Session Cookie將被發(fā)送(Direction:Sent 第二次發(fā)送到服務器端)。
此時在另外一個域中���,有一個頁面http://www.b.com/csrf-test.html���,此頁面構(gòu)造了CSRF以訪問www.a.com。
這時卻發(fā)現(xiàn)����,只能發(fā)送Session Cookie(Cookie:123)�,而Third-party Cookie被禁止了�。
這是因為IE因為安全考慮,禁止了瀏覽器在![]()
�����、
重慶分公司
重慶分公司